SkyOD驅(qū)動反反調(diào)試插件

SkyOD驅(qū)動反反調(diào)試插件，一個驅(qū)動級的反調(diào)試插件程序，專注CPU，偽裝，調(diào)試，生成操作，可以根據(jù)需求進(jìn)行進(jìn)程管理操作。本次帶來SkyOD反反調(diào)試插件程序工具，DLL文件，安裝方便，菜單全部為中文，需要進(jìn)行相關(guān)配置反調(diào)試操作的朋友們可以下載使用。

插件功能

隱藏PEB(R3)

peb.BeingDebugged & peb64.BeingDebugged

peb.NtGlobalFlag & peb64.NtGlobalFlag

peb.processHeap.HeapFlags & peb64.processHeap.HeapFlags

peb.processHeap.ForceFlags & peb64.processHeap.ForceFlags

隱藏進(jìn)程

現(xiàn)象：隱藏調(diào)試器進(jìn)程，在任務(wù)管理器里面枚舉不到進(jìn)程

場合：枚舉進(jìn)程，然后對這個進(jìn)程進(jìn)行一大堆檢測

注釋：隱藏進(jìn)程和偽裝進(jìn)程二者開一即可

保護(hù)進(jìn)程

現(xiàn)象：保護(hù)調(diào)試器進(jìn)程，允許OB權(quán)限過濾，

場合：通過查詢調(diào)試器特征信息來反調(diào)試就可以使用這個功能 (比如搜索調(diào)試器特征碼、線程調(diào)試句柄等等)

偽裝調(diào)試器

現(xiàn)象：偽裝調(diào)試器進(jìn)程的(路徑、名稱、父進(jìn)程ID)偽裝成explorer進(jìn)程

場合：通過枚舉進(jìn)程當(dāng)前目錄下的文件來檢測是否有調(diào)試器運行

注釋：隱藏進(jìn)程和偽裝進(jìn)程二者開一即可

偽裝父進(jìn)程

現(xiàn)象：被調(diào)試進(jìn)程的父進(jìn)程ID，改為explorer.exe，如果沒有此進(jìn)程則改成4(內(nèi)核進(jìn)程)  

場合：通過判斷自身進(jìn)程的父進(jìn)程ID是否為explorer.exe，是否是其他進(jìn)程創(chuàng)建的來反調(diào)試

隱藏句柄表

注釋：防止通過枚舉句柄查詢或者其他操作進(jìn)行反調(diào)試

保護(hù)調(diào)試寄存器

NtQueryInformationThread

ThreadWow64Context(獲取Wow64線程環(huán)境)

NtSetInformationThread

ThreadWow64Context(設(shè)置Wow64線程環(huán)境)

NtGetContextThread(獲取64線程環(huán)境)

NtSetContextThread(設(shè)置64線程環(huán)境)

現(xiàn)象：只要是非調(diào)試器進(jìn)程向被調(diào)試的進(jìn)程發(fā)起修改獲取調(diào)試寄存器的操作一律被偽裝(偷天換日)

場合：當(dāng)下不了硬件斷點，硬件斷點莫名其妙被清除的時候就可以使用

反反調(diào)試

NtSetInformationThread

ThreadHideFromDebugger(隱藏調(diào)試端口，脫離調(diào)試器)

NtClose

檢測是否錯誤句柄，防止關(guān)閉錯誤句柄觸發(fā)異常

檢測是否保護(hù)句柄，防止關(guān)閉保護(hù)句柄觸發(fā)異常

NtDuplicateObject

防止拷貝句柄時觸發(fā)保護(hù)句柄異常

NtSystemDebugControl

除了SysDbgGetTriageDump(查詢內(nèi)核調(diào)試器)

NtQueryInformationProcess

ProcessDebugFlags(調(diào)試標(biāo)志)

ProcessDebugPort(調(diào)試端口)

ProcessDebugObjectHandle(調(diào)試對象)

NtQuerySystemInformation

SystemKernelDebuggerInformation(是否開啟內(nèi)核調(diào)試)

NtQueryObject

ObjectTypeInformation(指定對象-DebugObject)

ObjectTypesInformation(所有對象-DebugObject)

注釋：反反調(diào)試是針對于系統(tǒng)全局，除了調(diào)試器，其他進(jìn)程沒有辦法獲取被調(diào)試進(jìn)程的真實狀態(tài)

使用說明

顯示驅(qū)動回顯

注釋：顯示驅(qū)動攔截動作信息

過數(shù)字簽名校驗

場合：插件驅(qū)動不帶簽名，請勾選此功能

注釋：無需數(shù)字簽名即可加載驅(qū)動程序，會被PG檢測

過虛擬機(jī)檢測

注釋：緩解一些檢測虛擬機(jī)方法

過PatchGuard

場合：開啟隱藏進(jìn)程、反反調(diào)試等一些功能

注釋：過系統(tǒng)PatchGuard校驗，非百分百，藍(lán)屏也是正常的0.0

A：插件沒有辦法正確加載怎么辦？

B：插件使用了DX界面，請在網(wǎng)上下載修復(fù)工具修復(fù)DX組件

A：插件里面的字體顯示有問題怎么辦？

B：請安裝“微軟雅黑”字體文件，msyh.ttc

A：程序檢測虛擬機(jī)怎么辦

B：務(wù)必把虛擬機(jī)自帶的VmTool工具關(guān)閉，可以通過配置虛擬機(jī)vmx文件實現(xiàn)